У овом прегледу ћемо говорити о значајкама инсталирања и повезивања бесплатног ТЛС / ССЛ сертификата компаније Лет'с Енцрипт за веб локацију на ИИС веб серверу која ради на Виндовс Сервер 2019/2016/2012 Р2.
Садржај:
- Хајде да шифрирамо и АЦМЕ клијенте за Виндовс
- Клијент ВАЦС за инсталирање ТЛС-а Лет'с Шифрирај сертификат у ИИС-у на Виндовс Серверу
- Преусмеравање промета ИИС локације са ХТТП-а на ХТТПС адресу
- Употреба алата „Шифрирајмо“ за услуге удаљене радне површине
Хајде да шифрирамо и АЦМЕ клијенте за Виндовс
Присуство ТЛС / ССЛ сертификата на месту омогућава вам да заштитите корисничке податке који се преносе преко мреже од напада човека у средини и гарантујете интегритет посланих података. Непрофитна организација за сертификацију Некас Шифрирај Омогућава вам аутоматско издавање путем АПИ бесплатних криптографских цертификата ТЛС Кс.509 за шифровање (ХТТПС). Издају се само потврде за потврду домена, са роком важења од 90 дана (постоји ограничење од 50 сертификата за један домен недељно). Али можете аутоматски поново објавити ССЛ сертификат за своју веб локацију како је планирано.
Позван је АПИ за аутоматско издавање сертификата Аутоматизовано Сертификат Менаџмент Околина (АЦМЕ) АПИ. За Виндовс системе тренутно постоје 3 најпопуларније имплементације АЦМЕ АПИ клијента:
- Корисност Виндовс АЦМЕ Једноставно (ВАЦС) - алат за наредбену линију за интерактивно издавање сертификата и повезивање са одређеном веб страницом на вашем ИИС веб серверу;
- Модул Поверсхелл АЦМЕСхарп - Поверсхелл библиотека са много команди за интеракцију кроз АЦМЕ АПИ са Лет'с Енцрипт сервером;
- Овјери - Графички менаџер ССЛ сертификата за Виндовс који омогућава интерактивно управљање сертификатима преко АЦМЕ АПИ-ја.
Клијент ВАЦС за инсталирање ТЛС-а Лет'с Шифрирај сертификат у ИИС-у на Виндовс Серверу
Најлакши начин за добијање ССЛ сертификата од компаније Лет'с Енцрипт је коришћење услужног програма конзоле Виндовс АЦМЕ Симпле (Вацс) (раније се пројекат звао Летсенцрипт-Вин-Једноставно). То је једноставан чаробњак који вам омогућава да одаберете једну од локација која ради на ИИС-у и аутоматски издате и вежете ССЛ сертификат на њу.
Претпоставимо да имамо веб локацију на ИИС-у, распоређену под оперативним системом Виндовс Сервер 2016. Наш задатак је да је пребацимо у режим ХТТПС инсталирањем ССЛ сертификата из компаније Лет Енцрипт.
Преузмите најновије издање ВАЦС клијента са странице пројекта на ГитХубу хттпс://гитхуб.цом/ПКИСхарп/вин-ацме/релеасес (у мом случају ово је верзија в2.0.10 - вин-ацме.в2.0.10.444.зип датотека).
Распакујте архиву у директориј на серверу с ИИС-ом: ц: \ инетпуб \ летсенцрипт
Да бисте користили Вин-Ацме, морате инсталирати .НЕТ Фрамеворк 4.7.2 или новији (Како сазнати која је верзија .Нет инсталирана?).Отворите командни редак са повластицама администратора, идите на ц: \ инетпуб \ летсенцрипт и покрените вацс.еке.
Ово покреће интерактивни чаробњак за генерисање Лет'с Енцрипт сертификата и његово везивање за ИИС локацију. Да бисте брзо креирали нови сертификат, изаберите Н: - Креирајте нове сертификате (једноставне за ИИС).
Тада морате одабрати врсту сертификата. У нашем примеру, нема потребе да користите сертификат са псеудонимима (вишеструко САН - алтернативно име предмета), па само одаберите 1. Појединачно везивање ИИС странице. Ако вам треба Вилдцард сертификат, изаберите опцију 3.
Затим ће услужни програм приказати листу веб локација на ИИС серверу и понудити да одаберете локацију за коју треба да креирате и повежете нови ССЛ сертификат.
Наведите своју адресу е-поште на коју ће се слати обавештења о проблемима са ажурирањем сертификата веб локације и другима о обешењу (можете одредити више адреса е-поште одвојене зарезима). Остаје да се сложимо са условима коришћења и Виндовс АЦМЕ Симпле ће се повезати на сервере Лет'с Енцрипт и покушати да аутоматски генеришу нови ССЛ сертификат за вашу веб локацију.
Процес генерисања и инсталирања Лет'с Енцрипт ССЛ сертификата за ИИС потпуно је аутоматизован.
Потврда валидације домена се врши у режиму Провјера хттп-01 (СелфХостинг). Да бисте то учинили, морате имати запис у домени ДНС који упућује на ваш веб сервер. Када покрећете ВАЦС у ручном режиму, можете одабрати потврду типа - 4 [хттп-01] Креирајте привремени апликација ин ИИС (препоручује се). У овом случају ће се створити мала апликација на ИИС веб серверу путем које Лет'с Енцрипт сервери могу да проверавају.
Напомена. Када обављате ТЛС / ХТТП верификацију, вашој веб локацији требало би да се приступи екстерно користећи целокупно име ДНС-а коришћењем ХТТП (80 / ТЦП) и ХТТПС (443 / ТЦП) протокола.ВАЦС услужни програм спрема приватни кључ сертификата (* .пем), сам сертификат и бројне друге датотеке у директоријуму Ц: \ Корисници \% усернаме% \ АппДата \ Роаминг \ летсенцрипт-вин-симпле. Тада ће инсталирати Лет'с Енцрипт ССЛ сертификат генерисан у позадини и приложити га на ваш ИИС сајт. Ако је на сајту већ инсталиран ССЛ сертификат (на пример, самопотписан), замениће га новим.
У ИИС Манагеру отворите мени Везивање на сајту за своју веб локацију и уверите се да користи цертификат издат од Шифрирајмо ауторитет Кс3.
Овом уверењу ће се веровати ако сте благовремено ажурирали Виндовс роот цертификате..У складишту рачунарских сертификата, Шифрујмо за ИИС сертификат можете да пронађете у одељку Веб Хостинг -> Цертификати.
Виндовс АЦМЕ Симпле креира ново правило у програму Виндовс Таск Сцхедулер (вин-ацме-ренев (ацме-в02.апи.летсенцрипт.орг)) да аутоматски обнови сертификат. Задатак почиње сваког дана, обнављање сертификата врши се након 60 дана. Планер извршава наредбу:
Ц: \ инетпуб \ летсенцрипт \ вацс.еке --ренев --басеури "хттпс://ацме-в02.апи.летсенцрипт.орг"
Можете употријебити исту наредбу за ручно ажурирање цертификата.
Преусмеравање промета ИИС локације са ХТТП-а на ХТТПС адресу
Да бисте преусмерили сав долазни ХТТП саобраћај на ХТТПС локацију, морате инсталирати модул Мицрософт УРЛ адреса Препиши Модул (хттпс://ввв.иис.нет/довнлоадс/мицрософт/урл-реврите) и проверите да опција ССЛ (Захтеви ССЛ) није омогућена у подешавањима веб локације. Остаје само да конфигуришете преусмеравање у датотеци веб.цонфиг:
Такође можете да конфигуришете преусмеравање саобраћаја преко УРЛ-а за преписивање преко корисничког сучеља ИИС Манагер. Изаберите Веб локације -> име вашег имена -> УРЛ Реврите.
Креирајте ново правило Додајте правило -> Празно правило.
Наведите назив правила и промијените вриједности параметра:
- Тражени УРЛ -> Поклапа узорак
- Коришћење -> Регулар екпрессионс
- Узорак -> (. *)
У блоку Услови промените Логично груписање -> Успореди све и кликните на Додај. Наведите
- Стање услова -> ХТТПС
- Проверите да ли се улазни низ -> подудара са обрасцем
- Узорак -> ^ ОФФ $
Сада у блоку Ацтион одаберите:
- Тип акције -> Преусмеривање
- УРЛ за преусмеравање -> хттпс: // ХТТП_ХОСТ / Р: 1
- Тип преусмеравања -> Стални (301)
Отворите прегледач и покушајте да отворите веб локацију са ХТТП адресом, требало би да вас аутоматски преусмерите на ХТТПС УРЛ.
Употреба алата Шифрујмо шифру за услуге удаљене радне површине
Ако за повезивање спољних корисника са корпоративном мрежом користите веб приступник удаљене радне површине / РД Веб локације, можете да користите уобичајени Лет'с Енцрипт ССЛ сертификат уместо уобичајеног сертификата са сопственим потписом. Погледајмо како правилно инсталирати цертификат Лет'с Енцрипт за обезбеђене услуге удаљене радне површине у Виндовс Серверу..
Ако је улога РДСХ такође подигнута на серверу Ремоте Десктоп Гатеваи, морате спречити читатеље да приступе директоријуму у којем имате ВАЦС (у мом примеру, ц: \ инетпуб \ летсенцрипт) и да шифрирамо сертификат (Ц: \ ПрограмДата именик сертификата) \ вин-ацме).Затим на РДП ГВ серверу покрените вацс.еке, као што је горе описано, и изаберите жељену ИИС локацију (обично, подразумевану веб локацију). Лет'с Енцрипт вам даје нови сертификат, који је инсталиран за веб локацију, а задатак за аутоматско обнављање сертификата појављује се у планеру.
Можете да ручно извозите овај сертификат и вежете га на потребне РДС услуге путем ССЛ повезивања. Али ове кораке ћете морати да изводите ручно сваких 60 дана када поново издајете потврду Лет'с Енцрипт.
Потребна нам је скрипта која ће одмах након пријема (обнављања) цертификата Лет'с Енцрипт искористити за РД Гатеваи.
Пројект вин-ацме има готов ПоверСхелл скрипту ИмпортРДГатеваи.пс1 (хттпс://гитхуб.цом/ПКИСхарп/вин-ацме/трее/мастер/дист/Сцриптс), који вам омогућава да инсталирате одабрани ССЛ сертификат за услуге удаљене радне површине. Главни недостатак скрипте је да морате ручно одредити отисак новог сертификата:ИмпортРДГатеваи.пс1
Да бисте аутоматски добили отисак сертификата са одређеног ИИС места, користите измењену скрипту ИмпортРДГатеваи_Церт_Фром_ИИС.пс1 (засновано на стандардном ИмпортРДГатеваи.пс1).
Упутство и модификовани ПоверСхелл скрипт послао је наш читатељ Антон, на чему му шаљемо зраке захвалности!Ову скрипту можете покренути ручно:
поверсхелл -Филе ИмпортРДГатеваи_Церт_Фром_ИИС.пс1
Ако ваш РДС Гатеваи живи на стандардној ИИС локацији „Дефаулт Веб Сите“ са индексом 0, можете користити скрипту без промена.
Да бисте добили ИД локације у ИИС-у, отворите ПоверСхелл конзолу и покрените:ВебАдминистратион модула увоза-модула
Гет-ЦхилдИтем ИИС: Веб локације
Набавите листу формулара:
Ступац ИД показује индекс ваше веб локације, одузмите је од ње. Резултат индекса ваше веб локације треба да буде наведен уместо 0 у 27. ретку скрипте ПоверСхелл:
$ НевЦертТхумбпринт = (Гет-ЦхилдИтем ИИС: ССЛ везе) [0] .Тхумбпринт
Сада отворите вин-ацме-обнови планерски задатак (ацме-в02.апи.летсенцрипт.орг) и на картици Ацтион додајте нови задатак који покреће скрипту ИмпортРДГатеваи_Церт_Фром_ИИС.пс1 након ажурирања сертификата..
Да не бисте променили дозволе за извршавање скрипти ПоверСхелл-а, можете позвати скрипту командом:
ПоверСхелл.еке -ЕкецутионПолици Бипасс -Филе ц: \ инетпуб \ летсенцрипт \ ИмпортРДГатеваи_Церт_Фром_ИИС.пс1
Сада ће се скрипта за везивање ССЛ сертификата на РДС извршити одмах по обнављању сертификата Лет Енцрипт. У том случају се РД Гатеваи услуга аутоматски поново покреће наредбом:
Рестарт-Сервице ТСГатеваи
Када се поново покрене услуга ТСГатеваи, све тренутне сесије корисника се прекидају, па је пожељно да промените учесталост покретања посла за ажурирање сертификата 1 пут у 60 дана.
Имајте на уму да се цертификати Лет'с Енцрипт тренутно широко користе на веб локацијама многих великих компанија и да им верују сви прегледачи. Надам се да судбина ауторитета за бесплатне цертификате Лет'с Енцрипт не трпи судбину ВоСигн-а и СтартЦом-а.